Cybersicherheitsexperten von Palo Alto Networks haben eine beunruhigende Entdeckung gemacht: In mehreren Paketen des beliebten Python Package Index (PyPI) wurde die als PondRAT bekannte Malware gefunden. Diese Malware wird mit nordkoreanischen Hackergruppen in Verbindung gebracht und stellt eine ernsthafte Bedrohung für die Sicherheit von Softwareentwicklern und Unternehmen dar.
PondRAT: Eine gefährliche Variante bekannter Malware
PondRAT ist eine abgespeckte Version der als POOLRAT (auch SIMPLESEA genannt) bekannten Malware. Dabei handelt es sich um einen Backdoor für macOS, der bereits früher mit der berüchtigten Lazarus-Gruppe in Verbindung gebracht wurde. Die Fähigkeiten von PondRAT sind besorgniserregend: Es kann Dateien hoch- und herunterladen, Operationen für bestimmte Zeiträume aussetzen und beliebige Befehle ausführen.
Teil einer größeren Kampagne: „Dream Job“
Die Entdeckung von PondRAT in PyPI-Paketen ist Teil einer laufenden Malware-Kampagne namens „Dream Job“. Diese Kampagne, die erstmals 2020 von ClearSky-Experten beschrieben wurde, lockt Benutzer mit verlockenden Stellenangeboten, um sie letztendlich zur Installation von Malware zu verleiten.
Verbindung zu nordkoreanischen Hackergruppen
Palo Alto Networks vermutet, dass die Aktivität mit der nordkoreanischen Gruppe Gleaming Pisces (auch bekannt als Citrine Sleet, Labyrinth Chollima, Nickel Academy und UNC4736) in Verbindung steht. Diese Gruppe ist eine Untergruppe von Lazarus und für die Verbreitung der AppleJeus-Malware bekannt.
Infektionskette und Funktionsweise
Die Angreifer luden mehrere bösartige Python-Pakete in PyPI hoch. Nach der Installation auf den Systemen der Entwickler laden diese Pakete PondRAT von einem Remote-Server der Hacker herunter und führen die Malware auf den Systemen der Opfer aus. Ziel ist es vermutlich, Zugang zu Anbietern in der Lieferkette über die Endpunkte ihrer Entwickler zu erhalten und anschließend auf die Endpunkte ihrer Kunden zuzugreifen.
Ähnlichkeiten zu anderen Malware-Varianten
Eine Analyse von PondRAT durch die Forscher ergab Ähnlichkeiten mit POOLRAT und AppleJeus. Die Linux- und macOS-Versionen von POOLRAT verwenden identische Funktionsstrukturen zum Laden ihrer Konfigurationen, haben ähnliche Methodennamen und Funktionalitäten. Darüber hinaus ist der Mechanismus zur Verarbeitung von Befehlen vom Command-and-Control-Server nahezu identisch.
Die Infektion von Python-Paketen in verschiedenen Betriebssystemen stellt ein erhebliches Risiko für Organisationen dar. Eine erfolgreiche Installation bösartiger Pakete von Drittanbietern kann zu einer Malware-Infektion führen, die letztendlich das gesamte Netzwerk gefährdet. Unternehmen und Entwickler müssen daher besondere Vorsicht walten lassen und ihre Sicherheitsmaßnahmen verstärken, um sich vor solchen ausgeklügelten Angriffen zu schützen. Regelmäßige Sicherheitsaudits, die Verwendung vertrauenswürdiger Quellen für Softwarepakete und die Implementierung fortschrittlicher Erkennungssysteme sind entscheidende Schritte zur Minderung dieser Bedrohungen.